Get started
인시던트 대응
1. 탐지 및 분류
보안 신호는 다음 경로에서 수집됩니다.
- GitHub 보안 권고(GHSA) 및 비공개 취약점 보고.
- 보고 내용이 민감하지 않은 경우 공개 GitHub 이슈/토론.
- 자동화된 신호: Dependabot, CodeQL, npm 권고, 비밀 정보 검사.
초기 분류:
- 영향을 받는 구성 요소와 버전, 신뢰 경계에 미치는 영향을 확인합니다.
SECURITY.md의 범위 및 범위 제외 규칙에 따라 보안 문제인지, 보안 강화 사항인지, 조치가 필요 없는 사항인지 분류합니다.- 인시던트 담당자가 분류 결과에 따라 대응합니다.
2. 심각도
| 심각도 | 정의 |
|---|---|
| 치명적 | 패키지/릴리스/저장소 침해, 현재 진행 중인 악용, 또는 영향력이 큰 제어 권한이나 데이터 노출을 수반하는 인증되지 않은 신뢰 경계 우회. |
| 높음 | 제한된 사전 조건이 필요한 것으로 확인된 신뢰 경계 우회(예: 인증되었지만 권한이 없는 상태에서 영향력이 큰 작업 수행) 또는 OpenClaw이 소유한 민감한 자격 증명의 노출. |
| 중간 | 실질적인 영향이 있지만 악용 가능성이 제한되거나 상당한 사전 조건이 필요한 중대한 보안 취약점. |
| 낮음 | 심층 방어 관련 발견 사항, 제한된 범위의 서비스 거부 또는 입증된 신뢰 경계 우회가 없는 보안 강화/동등성 격차. |
3. 대응
- 보고자에게 접수 사실을 알립니다(민감한 경우 비공개로 전달).
- 지원되는 릴리스와 최신
main에서 문제를 재현한 후, 회귀 검사 범위를 포함한 패치를 구현하고 검증합니다. - 치명적/높음: 실질적으로 가능한 한 빨리 패치된 릴리스를 준비합니다.
- 중간/낮음: 일반 릴리스 절차에서 패치하고 완화 지침을 문서화합니다.
4. 소통 및 공개
영향을 받는 저장소의 GitHub 보안 권고, 수정된 버전의 릴리스 노트/변경 로그 항목, 상태 및 해결 결과에 대한 보고자와의 직접적인 후속 연락을 통해 소통합니다.
치명적/높음 인시던트는 적절한 경우 CVE 발급과 함께 조율된 공개 절차를 거칩니다. 위험이 낮은 보안 강화 관련 발견 사항은 영향과 사용자 노출 정도에 따라 CVE 없이 릴리스 노트나 권고에 문서화할 수 있습니다.
5. 복구 및 후속 조치
수정 사항을 배포한 후:
- CI 및 릴리스 산출물에서 해결 조치가 적용되었는지 확인합니다.
- 타임라인, 근본 원인, 탐지 공백, 예방 계획을 다루는 간단한 인시던트 사후 검토를 수행합니다.
- 후속 보안 강화/테스트/문서 작업을 추가하고 완료될 때까지 추적합니다.
관련 문서
Was this useful?